Рейтинг:3

Как решить, является ли элемент открытым ключом в схеме шифрования NTRU?

флаг ng

Во-первых, я использую настройки https://en.wikipedia.org/wiki/NTRUEncrypt, с $L_f$ набор полиномов с $d_f+1$ коэффициенты равные 1, $d_f$ равно $-1$ а остальные $N-2d_f-1$ равен 0; и $L_g$ набор многочленов с $d_g$ коэффициенты равные 1, $d_g$ равно $-1$ а остальные $N-2d_g$ равно 0. Натуральные числа $d_f$ и $d_g$ просто фиксированные параметры схемы.

Предположим, что получен многочлен $ч$ на ринге $R_{N,q}=\mathbb{Z}_q[X]/\langle X^N-1 \rangle$.

Вопрос: Можно ли определить, если $ч$ является открытым ключом, то есть можно ли определить, $ч$ имеет форму $pf_q \cdot g \pmod{q}$?

Моя попытка: предположение о твердости NTRU говорит, что от $ч$ нельзя определить $f$ или же $г$, иначе схема была бы бесполезна. Хотя я не мог ответить на свой вопрос, я придумал тест. С $г(1)=0$, мы должны иметь $ч(1)=0$. Следовательно, если $h(1)\neq 0$ тогда $ч$ не является открытым ключом. Что мы можем протестировать еще?

PS: Никаких доказательств с нулевым разглашением или подобных вещей из источника $ч$ даны.

Рейтинг:5
флаг ng

Вы не можете в соответствии со стандартным предположением, известным как «Предположение о принятии решений NTRU». По сути, это утверждение о том, что открытые ключи NTRU являются псевдослучайными. Следующее определение 4.4.4 Десятилетие решетчатой ​​криптографии.

Проблема обучения НТРУ: Для инвертора $s\в R_q^*$, и распределение $\чи$ на $R$, определять $N_{s, \chi}$ быть дистрибутивом, который выводит $e/s\in R_q$ куда $е\получает\чи$. Проблема обучения НТРУ есть: Даны независимые выборки $a_i\in R_q$, где каждая выборка распределена по

  1. $N_{s,\chi}$, для некоторых случайно выбранных $s\в R_q^*$ (фиксировано для всех образцов), или
  2. равномерное распределение, различить, в каком случае (с существенным преимуществом).

Обратите внимание, что эта проблема, по сути, утверждает, что вы не можете делать то, что вы просите, то есть утверждает, что ключи NTRU вычислительно неотличимы от случайных.

Leafar avatar
флаг ng
Большое спасибо! Теперь я понимаю больше, но здесь, в этом определении, равномерное распределение определено для всех $R_{N,q}$, что противоречит приведенному мной тесту. Более того, $\chi$ является распределением над $L(d_g,d_g)$. Могу ли я определить точку 2 как равномерное распределение по $R_{N,q}$, за исключением того, что все многочлены, которые оцениваются как 1, дают 0? Будет ли достаточно этого определения/предположения о твердости?
Mark avatar
флаг ng
Вероятно, вы можете просто определить кольцо $R$, чтобы оно имело многочлены, которые оцениваются как 0 при 1, например. установите $R = \mathbb{Z}[x] / (x^n-1)$. Однако вы не можете просто изменить пункт 2 в одностороннем порядке, так как тогда проблема различения становится другой проблемой различения.
Leafar avatar
флаг ng
Я не могу, потому что такие полиномы никогда не бывают обратимыми, и это испортит $f$ в вашем ответе $s$, который должен быть обратимым.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.